Van egy intézményi CA. A tanúsítványa természetesen benne van kliensen a Trusted Root CA store-ban.
- aláírok vele egy sima tanúsítványt: host.cegnev.hu -> működik
- aláírok vele egy wildcard tanúsítványt: *.cegnev.hu -> működik
- aláírok vele egy sima tanúsítványt az intranet számára: host.foobar -> működik
- aláírok vele egy wildcard tanúsítványt az intranet számára: *.foobar -> nem működik
A "*.foobar" benne van a CN-ben és a subjectAltName-ben egyaránt, ahogy azt kell.
Az intranetes DNS név feloldódik rendesen.
OCSP nincs használatban.
A Firefox ezt mondja:
host.foobar uses an invalid security certificate.
The certificate is only valid for *.foobar
Error code: SSL_ERROR_BAD_CERT_DOMAIN
A Chrome pedig ezt:
This server could not prove that it is host.foobar; its security certificate is from *.foobar.
De miért nem match-el? Van arra valami előírás, hogy intranetes domainen nem lehet wildcard cert?
"openssl s_client -connect host.foobar:443" szerint a cert rendben van...
Világosítsatok fel, lécci! :)
UPDATE
Ez van a Chromium forrásában:
// We required at least 3 components (i.e. 2 dots) as a basic protection
// against too-broad wild-carding.
Nyilván a Firefox is hasonlóképp viselkedik.
- 687 megtekintés